Une enquête sur les flux de données de l'organisme de crédit autrichien CRIF a permis de faire la lumière sur cette question : la plupart des données d'adresses figurant dans la base de données du CRIF proviennent des courtiers en adresses AZ Direct (groupe Bertelsmann), Compass-Verlag et DPIT à Vienne. Mais d'où ces négociants d'adresses tirent-ils leurs données ? Un nouveau noyb portant sur plus de 2 400 personnes concernées montre qu'ils accèdent à des registres publics tels que le registre du commerce et le registre foncier, le registre des associations et le système d'information sur les entreprises (GISA), introduit en 2015. Compass cite également la chambre de commerce (WKO) comme source de données. Cependant, on ne sait toujours pas où AZ Direct (le plus grand fournisseur de données du CRIF) obtient ses données. AZ Direct déclare ne pas savoir où elle a obtenu les données sur 7 millions de personnes en Autriche.
Données extraites de registres publics. L'organisme de crédit CRIF obtient la plupart de ses données d'adresses auprès des courtiers en adresses AZ Direct, Compass-Verlag et DPIT. Grâce aux demandes d'accès formulées au nom des plus de 2 400 participants au projet CRIF, nous savons désormais que les trois courtiers en adresses utilisent principalement des registres publics tels que le registre des actes et des sociétés, le registre des associations et le registre du commerce.
Max Schrems, président du noyb: "Bien entendu, ces registres ne sont pas destinés à satisfaire les désirs des courtiers en données, mais à prouver les droits, la propriété et les pouvoirs de représentation."
Registre foncier, registre du commerce, ZVR, GISA et WKO. Concrètement, Compass-Verlag déclare souvent avoir obtenu des données du registre du commerce, du registre des associations (ZVR) et du registre des métiers (GISA). La Chambre de commerce (WKO) apparaît également comme une source et transmet apparemment des données provenant de ses propres membres. De son côté, la DPIT déclare avoir accès au registre foncier, au registre du commerce et au registre des métiers. Cela signifie que chaque travailleur indépendant, chaque propriétaire et chaque personne active dans une association a été potentiellement enregistrée. Toutefois, ce ne sont pas les informations sur les biens ou les activités commerciales qui sont utilisées à des fins de notation de crédit. Seuls les noms, les dates de naissance et les adresses sont utilisés.
Max Schrems : "Les registres publics sont utilisés comme des carnets d'adresses, et non pour fournir des preuves économiques ou juridiques. En fin de compte, les données économiquement pertinentes ne sont pas du tout utilisées pour l'évaluation du crédit - il ne s'agit que des données de base
Le gouvernement ne fait rien pour lutter contre le "scraping" des registres publics ? Les registres publics sont indispensables dans un État de droit bien administré (par exemple pour vérifier si une personne possède une licence commerciale ou est propriétaire d'un bien immobilier). Dans le passé, ces opérations devaient être effectuées manuellement. Grâce à la numérisation, la plupart des registres sont désormais disponibles en ligne, mais apparemment sans protection suffisante contre le "scraping" à grande échelle. Les mesures de protection de base telles que les captchas, les limites d'interrogation par adresse IP ou les conditions générales stipulant clairement que les données ne peuvent être utilisées qu'à des fins spécifiques (par exemple, pour vérifier un commerce, une propriété ou un pouvoir de représentation) semblent faire défaut.
Max Schrems : "L'Autriche ne dispose pas de règles techniques et juridiques claires pour empêcher le scraping de masse à d'autres fins. Toute personne qui tente de protéger sa vie privée est actuellement "démasquée" par l'État - et les entreprises collectent ces données à grande échelle. Il est grand temps que les responsables politiques mettent un terme à ces abus en limitant les requêtes techniques et en restreignant clairement les finalités. Nous ne tenons pas le registre des associations pour l'industrie de la publicité ou pour les négociants en données"
La loi est claire : les registres publics sont soumis à une "limitation des finalités". Non seulement il est évident que cette réutilisation commerciale n'est pas dans l'intérêt public, mais elle viole également le principe de "limitation de la finalité" énoncé à l'article 5, paragraphe 1, point b), du règlement GDPR L'article 5, paragraphe 1, point b), du GDPR. L'autorité autrichienne de protection des données (DSB) a déjà décidé, en ce qui concerne le registre des actes, que le traitement ultérieur à des fins publicitaires, par exemple, était contraire au GDPR. L'arrêt bien connu de la Arrêt de la CJUE sur le "droit à l'oubli concernait également des données publiées légalement, qui ne pouvaient toutefois pas être simplement réutilisées par Google Search.
Max Schrems : "Ce n'est pas parce que des données sont accessibles au public qu'elles peuvent être utilisées à n'importe quelle fin. Vous ne pouvez pas filmer des gens sur la voie publique pour vos propres besoins"
AZ Direct : 7 millions de données sans source ? AZ Direct, qui fait partie du grand groupe allemand Bertelsmann, révèle un problème tout à fait différent : malgré son obligation légale de fournir des informations, le marchand d'adresses n'a pas révélé de sources de données spécifiques pour la quasi-totalité des 2 400 participants. AZ Direct a pourtant vendu au total plus de 7 millions d'enregistrements de données au CRIF. Il est actuellement impossible de savoir où le plus grand fournisseur de données de CRIF obtient ses informations - ce qui rend également impossible l'exercice des droits GDPR.
Max Schrems : "Il est tout à fait ridicule qu'une filiale de Bertelsmann, qui détient les données privées de 7 millions de personnes en Autriche, ne sache pas d'où proviennent ces données. Actuellement, un ensemble de données contenant presque tout le monde en Autriche peut provenir de n'importe quelle source - les personnes concernées n'ont aucun moyen de vérifier si les sources sont légales."
Vers une action collective en justice : L'évaluation détaillée est presque terminée. le noyb continue à travailler sur une évaluation détaillée des scores de crédit reçus des 2 400 participants. En collaboration avec un professeur de mathématiques financières, les plus de 28 000 scores reçus sont comparés aux données financières réelles des personnes concernées afin de déterminer si les scores du CRIF sont statistiquement valables. À l'heure actuelle, tout porte à croire que le score CRIF n'a pas grand-chose à voir avec la situation financière individuelle réelle et ne fournit pas une évaluation fiable du risque pour les personnes qui paient toujours leurs factures. Pour ces 90 % de la population, le score est essentiellement basé sur l'âge, le sexe et l'adresse. D'autres résultats sont attendus dans les semaines à venir. Ensuite, noyb décidera s'il y a lieu d'engager une action collective de plus grande envergure contre le CRIF, qui est susceptible d'affecter des millions de personnes. En cas de traitement illégal de données à caractère personnel, chaque personne concernée pourrait avoir droit à des dommages et intérêts.
